U mena den' rojdenia segodna :-)
V pro6liy 4etverg vse russkoazi4nie interneti obletela ujasnaa novost':
ukradeni logini i paroli sta soroka tisa4 pol'zovateley "VKontakte". Ne
potrudiv6is' proverit' fakti, ob etom soob6ila celaa ku4a onlaynovix
izdaniy, ne govora uje o sotnax nikomu ne izvestnix bloggerov.
K sojaleniu, v takom vide soob6enie o4en' i o4en' daleko ot istini.
Na4at' xota bi s togo, 4to fi6eri godami voruut logini-paroli ot
"VKontakta", i ne tol'ko ot nego, i v samom etom fakte net ni4ego
udivitel'nogo ili neojidannogo. Ni4ego neobi4nogo net i v tom, 4to
zloumi6lenniki pri pomo6i troanskoy programmi pereadresovivali
pol'zovateley na podlojniy sayt i pitalis' vimanit' u nix den'gi,
predlagaa otpravit' SMS s tekstom "Ya ne loh" na korotkiy nomer 6008.
Ujas, no ne ujas-ujas
Na samom je dele glavnaa novost' sostoala v drugom: na sey raz
xakeri zapisali vse ukradennie logini-paroli v prostoy tekstoviy fayl,
dostupniy po pramoy ssilke lubomu jelau6emu, a sama eta ssilka po
kakoy-to pri4ine po6la v narod. To est' re4' id¸t o ser'¸znoy ute4ke
pol'zovatel'skix dannix.
Vpro4em, ne nastol'ko ser'¸znoy, kak ob etom vezde kri4at.
145 tisa4 — takovo bilo ob6ee 4islo par login-parol' po sostoaniu na
ve4er 30 iula. Za vi4etom pustix i otkrovenno nekorrektnix virajeniy
ostaetsa vsego 125 tisa4. Ob6ee je 4islo pol'zovateley s unikal'nimi
loginami, 4'i dannie bili zabotlivo soxraneni i ras6areni, sostavilo
4ut' bolee 40 tisa4 (to est' poradka 0,1% ot 4isla pol'zovateley
servisa).
Pri etom administracia "VKontakte" dostato4no operativno sbrosila
zasve4ennie paroli i vislala kajdomu postradav6emu vremenniy parol',
tak 4to na6umev6aa ute4ka vrad li komu-to sil'no navredila.
Svataa prostota
Nam je eta ute4ka, naprotiv, o4en' daje pomogla. Mi davno xoteli
sobstvennimi glazami posmotret', kak vigladat tipi4nie paroli tipi4nix
pol'zovateley tipi4noy social'noy seti. 4to j, na6e lubopitstvo bilo
vpolne udovletvoreno. Skajem srazu, mi i ne podozrevali, 4to umstvennie
sposobnosti stol' su6estvennogo 4isla ludey perejivaut mra4niy period
ugasania.
Pervim priznakom etogo samogo ugasania mojno s4itat' dikoe 4islo
popitok zaloginit'sa na podlojnom sayte. Kazalos' bi, na kajdom uglu
preduprejdaut: esli "VKontakte" prosit u teba deneg za vxod — eto ne
"VKontakte", eto "Jadnoklassniki". Odnako celie tolpi ludey, uvidev predlojenie ob otpravke SMS, vozvra6alis' i pitalis' vvesti login i parol' zanovo.
V srednem kajdiy postradav6iy vkontakt¸r pitalsa zaloginit'sa na
sayte 3 raza. Odnako ne obol'6aytes': besprosvetno naivnix grajdan na
samom dele kuda bol'6e, 4em vi dumaete. Tak, bolee 10 raz pitalis'
vlomit'sa na poddel'niy sayt po4ti 1300 4elovek. A odin osobo odar¸nniy
tovari6 nastol'ko sil'no stradal bez svoix odnokursnic, odnoklassnic i
pornospama, 4to vv¸l login i parol' aj 55 raz kradu — i, vi ne
poverite, absolutno bezrezul'tatno!
Vtorim i glavnim priznakom ugasania vi6eozna4ennix sposobnostey
mojno s4itat' koli4estvo nenad¸jnix paroley. 1344 4eloveka (ili 3,36
procenta ot 40 tisa4 unikal'nix pol'zovateley) za6i6aut svoi
personal'nie dannie ne tol'ko prostimi, no i rasprostran¸nnimi parolami
(k rasprostran¸nnim mi otnesli te, 4to vstre4autsa bolee 10 raz).
Vot dvadcatka naibolee popularnix iz nix:
Parol' |
Kol-vo |
Procent |
123456 |
134 |
0,34% |
123456789 |
85 |
0,21% |
qwerty |
85 |
0,21% |
111111 |
51 |
0,13% |
1234567890 |
41 |
0,10% |
7777777 |
39 |
0,10% |
123321 |
34 |
0,09% |
666666 |
33 |
0,08% |
1234567 |
31 |
0,08% |
123123 |
29 |
0,07% |
12345678 |
26 |
0,07% |
qwertyuiop |
26 |
0,07% |
qazwsxedc |
25 |
0,06% |
000000 |
23 |
0,06% |
lubov' |
23 |
0,06% |
555555 |
22 |
0,06% |
zxcvbnm |
22 |
0,06% |
654321 |
19 |
0,05% |
gfhjkm |
19 |
0,05% |
1q2w3e4r |
18 |
0,05% |
Prime4anie 1: Esli vdrug kto ne dogadalsa, "gfhjkm" — eto slovo
"parol'", nabrannoe v latinskoy raskladke klaviaturi. Mnogie s4itaut
takoy pri¸m o4en' xitrim.
Prime4anie 2: Bditel'naa administracia resursa s nekotorix por
zapretila izmenat' paroli na 4isto cifrovie, odnako sozdavat' novie
akkaunti s takimi parolami po-prejnemu dopuskaetsa.
Neskol'ko slov o glavnoy bolezni internetozavisimix - kopipeystinge.
Napomnim, 4to v rassmatrivaemoy nami social'noy seti v ka4estve loginov
ispol'zuutsa elektronnie adresa. Tak vot, u 343 pol'zovateley (0,86%)
parol' identi4en loginu na po4tovom servise (t.e. 4asti po4tovogo
adresa do "sobaki"), a e6¸ u 67 4elovek (0,17%) parol' polnost'u sootvetstvuet loginu (t.e. vsemu adresu, vklu4aa "sobaku" i to, 4to za ney sleduet).
Kto bil tot umniy mujik, kotoriy skazal, 4to svataa prostota xuje vorovstva?
Gde u nego knopka?
Ob odnom iz popularnix paroley, ne vo6ed6ix v TOP-20, xotelos' bi skazat' osobo.
Na stranice nastroek, v razdele smeni pol'zovatel'skogo parola, administracia razmestila sleduu6uu nexitruu instrukciu:
Ubedites', 4to ne vklu4ena knopka CAPS-Lock
Parol' doljen bit' ne menee 6 simvolov v dlinu
E6¸ lu46e — ispol'zovat' i bukvi, i cifri
'kNOpKA' i 'knopka' — raznie paroli
Kak i sledovalo ojidat', 16 4elovek iz 40 tisa4 (0,04%) vibrali v
ka4estve parola slovo, prived¸nnoe v posledney stro4ke. Iz nix 12
ispol'zovali variant "knopka", 2 — "knopka" i 1 — "KNOPKA". E6¸ odna
prodvinutaa devu6ka zavela sebe parol' "ryjgrf", to est' "knopka" v
latinskoy raskladke.
Kazalos' bi, 0,04% — ni4tojnaa cifra. Odnako v mas6tabax vsego
servisa eto uje ne 16, a 15600 akkauntov. I etot klu4 zabotlivo vlojila
v ruki zloumi6lennikam sama administracia!
Pozvoni mne, pozvoni!
Sem' s li6nim tisa4 paroley v rassmatrivaemoy baze — eto polnost'u
cifrovie posledovatel'nosti (s4itau6iesa nesek'urnimi), iz kotorix
nikak ne men'6e tisa4i (to est' bolee 2,5%) v toy ili inoy stepeni
napominaut nomera telefonov. Stoit otmetit', 4to mi obra6ali vnimanie
tol'ko na semizna4nie i desatizna4nie nomera, tak 4to eta cifra mojet
bit' sil'no zanijena. Dobav'te k nim 237 11-zna4nix paroley,
na4inau6ixsa na "80" (zdoroven'k³ buli, 6anovni ukra¿ns'k³ druz³!) i
e6e desatok telefonoparoley, na4inau6ixsa s "+". Esli u4est', 4to
vkontakt¸ri s bol'6oy oxotoy publikuut na li4nix stranicax nomera
telefonov, da i telefonnie bazi kupit' ne tak uj i slojno, s4itat'
takie paroli nad¸jnimi nikak nel'za.
Neploxo? A ved' eto mi poka e6¸ ne skazali ni slova o lubvi.
Lubov' otkroet vse zasovi
"Lubov'" v tom ili inom vide prisutstvuet v 332 parolax (0,83%).
Suda vo6li takje slova "lublu", "lubimiy", "lubimaa" i ix so4etania s
imenem sobstvennim. Esli cifra v 0,83% vas ne vpe4atlaet, priplusuyte
suda ne poddau6eesa u4¸tu koli4estvo paroley s imenami (v 4astnosti,
nikneymami, familiami i inicialami) lubimoy devu6ki, lubimogo uno6i, a
takje lubimogo seba.
Sredi paroley s imenami vstre4autsa takie kriptostoykie kak
"lublusereju", "FamiliaIma" i daje "pusen'ka" (pri elektronnom adrese,
na4inau6emsa s "pusya"). Napomnim, 4to ima lubimoy ili lubimogo, ne
govora uje ob imeni samogo 4eloveka, mojno bez truda vzat' iz anketnix
dannix neposredstvenno na sayte.
K sojalen'u, den' rojden'a...
E6¸ odin tip massovo ispol'zuemix nebezopasnix paroley — eto dati.
Deystvitel'no, namnogo trudnee zabit' parol', esli on sovpadaet s
4'ey-nibud' datoy rojdenia. V issleduemoy baze mi nas4itali po krayney
mere 1200 paroley (3 procenta ot ob6ego 4isla) v formatax tipa 44MMGGGG
i GGGGMM44.
Informacia je o date rojdenia pol'zovatela ili ego blijay6ego
okrujenia za4astuu otkrita dla oznakomlenia. Bolee togo, servis za
neskol'ko dney preduprejdaet druzey pol'zovatela o gradu6em vzlome priblijenii prazdnika. Esli data rojdenia budet vs¸-taki skrita, e¸ mojno popitat'sa nayti v tex je telefonnix bazax.
Spravedlivosti radi zametim, 4to s datoy ili godom rojdenia vpolne
mojno sozdavat' i dovol'no sil'nie paroli. Dostato4no dobavit'
neskol'ko bukv do, posle ili mejdu ciframi. Po na6im ocenkam, poradka
0,5 procenta pol'zovateley tak i postupaet, xota nekotorie iz nix
portat vs¸ delo, dopisivaa vmesto slu4aynix bukv svo¸ ima.
Pods4itali — proslezilis'
Itogo imeem:
Rasprostran¸nnie paroli |
1344 |
3,36% |
Predpolagaemie nomera telefonov |
~1300 |
~3,25% |
"Lubov'" (za vi4etom vo6ed6ego v p.1) |
309 |
0,77% |
Sovpadenie s elektronnim adresom
(do "sobaki" ili polnost'u) |
410 |
1,02% |
Dati rojdenia (tol'ko XX vek) |
~1200 |
~3% |
Takim obrazom, v ob6ey slojnosti mi imeem do 11,4 procenta paroley,
vzlomat' kotorie smojet luboy jelau6iy, pri uslovii 4to on znaet
elektronniy adres pol'zovatela, imeet dostup k ego anketnim dannim i
gotov potratit' pat' minut svoego dragocennogo vremeni.
Dobav'te k etomu paroli, sovpadau6ie s imenami sobstvennimi
(pods4itivat' kotorie nam bilo len', no re4' id¸t procentax o desati,
ne men'6e) i cifrovie paroli, operativno vzlamivaemie elementarnim
brutforsom (ix dola, za vi4etom nomerov telefonov i dat, sostavlaet
gde-to 11 procentov) — i vi polu4ite udru4au6uu kartinu.
Situacia usugublaetsa tem, 4to pravila servisa trebuut ot pol'zovatela
vikladivat' o sebe vsu podnogotnuu. Nali4ie takoy massi li4nix svedeniy
v otkritom dostupe — prosto prazdnik dla potencial'nogo vzlom6ika.
Diskleymer
Bezuslovno, v processe pods4¸ta nami bil sdelan celiy rad dopu6eniy.
Da i issleduemuu bazu nikak nel'za nazvat' absolutno dostovernoy.
Naprimer, 4ast' pol'zovateley avno ne mogla vspomnit' svoix paroley i
prosto pitalas' ix podobrat'. A nemnogo4islennie soobrazitel'nie uzeri,
nado otdat' im doljnoe, i vovse vospol'zovalis' formoy logina-parola,
4tobi poslat' fi6erov v pe6ee eroti4eskoe pute6estvie.
Samu viborku, nesmotra na e¸ ves'ma prili4niy ob&¸m, toje nel'za
s4itat' polnost'u reprezentativnoy, poskol'ku re4' id¸t li6' o
pol'zovatelax, kotorie, vo-pervix, umudrilis' podcepit' zarazu, a
vo-vtorix, dogadalis' otdat' svoi paroli v 4ujie ruki — to est' o
ludax, zavedomo naivnix v voprosax bezopasnosti.
Tem ne menee, prosmotrev drugie analogi4nie issledovania,
proved¸nnie v samix raznix 4astax sveta (esli ugodno — Google vam v
pomo6'), riskn¸m predpolojit', 4to v svoix vivodax mi skoree
preumen'6ili mas6tabi tragedii, nejeli preuveli4ili.
4to delat' i kto vinovat?
Sna4ala "Vebplaneta" xotela prilojit' k etoy stat'e paru manualov v
duxe "spasenie utopau6ix — delo ruk samix utopau6ix". A potom mi
zaglanuli "VKontakt" i obnarujili, 4to instrukciy po bezopasnosti tam
prud prudi. Pravda, bez pollitri ix ne srazu i nayd¸6': sna4ala nado
tirknut' na "Texpodderjku" v samom nizu stranici, potom kliknut' po
ssilke na gruppu "VKontakte | Bezopasnost'", kotoruu nujno otiskat' v
saydbare, a zatem v soob6eniax gruppi nado popitat'sa vicepit' nujnuu
informaciu. Naprimer, o tom, kak sozdat' sek'urniy parol' ili kak ne stat' jertvoy fi6erov.
V ob6em, administracia, s odnoy storoni, podgotovila vse instrukcii. A s drugoy storoni, daje obazala pol'zovateley
(krome 6utok, imenno obazala i imenno pol'zovateley) "prinimat'
nadleja6ie meri dla obespe4enia soxrannosti... imeni pol'zovatela
(adresa elektronnoy po4ti) i parola". Odnako lu46e bi ona obazala ix
pol'zovat'sa nad¸jnimi parolami pri pomo6i nexitrix texni4eskix
sredstv, skajem, proveraa sozdavaemie paroli na kriptostoykost', na
(ne)sootvetstvie ix loginu, familii, imeni jeni i drugim
pol'zovatel'skim dannim...
Mojno skol'ko ugodno nazivat' pol'zovateley malogramotnimi ili
ograni4ennimi, no ved' i sozdateli servisa doljni ponimat', 4to oni v
otvete za tex, kogo priru4ili.
Po4emu je togda pri sozdanii i smene parola net pramoy (i napisannoy vot takim vot keglem)
ssilki na podrobnuu instrukciu po bezopasnosti? I po4emu eta instrukcia
voob6e vidna tol'ko zaloginennim pol'zovatelam? Polu4aetsa: sna4ala
pridumay parol' i zaregistriruysa, a uj potom tebe rasskajut, kakoy
parol' nado bilo pridumat'. Da i to, esli dogadae6'sa zalezt' v debri
"Texpodderjki".
Bezuslovno, "VKontakte" — daleko ne edinstvenniy resurs Runeta, ne
pozabotiv6iysa o takix elementarnix merax. No eto odin iz samix
pose6aemix resursov, i dla kibermo6ennikov eti 39 millionov
pol'zovateley — kak sortir dla mux. Pri etom podavlau6ee bol'6instvo iz
etix millionov — ludi, kotorie ne znaut, s kakoy storoni u sistemnogo
bloka raz&¸m pitania. Oni i sistemniy blok-to oti6ut ne s pervoy
popitki, a vi ix vipustili s goloy zadnicey v ki6a6iy virusami i
4ervami Internet!
No ved' i eto e6¸ ne vs¸. Xota posle pati neuda4nix popitok vxoda na
sayt pol'zovatelu i pokazivaetsa kakaa-nikakaa kap4a, ograni4eniy na
4islo popitok vvoda parola, poxoje, poprostu ne ustanovleno: mi sbilis'
so s4¸ta posle 35-y ili 40-y popitki. A etogo vpolne dostato4no, 4tobi
perebrat' vse rasprostran¸nnie varianti, plus imena, telefoni i dati.
Da i ot kap4i-to, kak viasnilos', malo tolku: ona poprostu ne
aktiviziruetsa, esli podbor parola 4eredovat' s dvux ma6in s raznimi
IP-adresami.
Ey-bogu, detskiy sad, trusi na lamkax! S takoy politikoy
bezopasnosti servisa bespokoit'sa po povodu fi6inga i vsakix melkix
ute4ek uje i ne nado.
Spisok popularnix paroley, spamerskaa baza elektronnix adresov i
nebol'6oy botnet, vzatiy v arendu na 4¸rnom rinke — vot i vs¸, 4to
nujno, 4tobi tixo i ne privlekaa osobogo vnimania v sravnitel'no
korotkie sroki prostim pereborom vzlomat' akkaunti 3,36% pol'zovateley
etogo servisa. Algoritm mojno slegka uslojnit', dobaviv proverku na
parol', polnost'u ili 4asti4no sovpadau6iy s loginom — i vot vam e6¸
procent s kopeykami. Daje esli v spam-baze budet tol'ko polovina
adresov, kotorie ispol'zuutsa v ka4estve loginov "VKontakte", v
kone4nom itoge okajutsa vzlomannimi bolee 800 tisa4 akkauntov.
Mi ne sil'no udivimsa, esli okajetsa, 4to ne4to podobnoe kto-to uje delal.
Vmesto postskriptuma ili "Koro4e, Sklixosovskiy!"
Pri pods4¸te statistiki mi ne rassmatrivali paroli koro4e 6esti
simvolov, poskol'ku v nastoa6ee vrema na servise, slava Durovu, imeetsa
takoe ograni4enie. Odnako je odin sposob zavesti "VKontakte" korotkiy
parol' mi vs¸-taki obnarujili.
Da, pri sozdanii akkaunta etot nomer ne proyd¸t, i v pole parola
prid¸tsa vbit' ne menee 6esti simvolov. No zato potom mojno zayti v
razdel nastroek i zadat' v ka4estve novogo parola lubuu
posledovatel'nost' iz dvux i bolee simvolov, kotoraa vklu4aet kak
minimum odin znak !, $ ili &. Pri4ina sostoit v tom, 4to
pere4islennie znaki "VKontakte" prevra6aet v patisimvol'nie
posledovatel'nosti "!", "$" i "&".
Sootvetstvenno, nel'za zadat' parol', kotoriy sostoal bi bolee 4em
iz 6esti znakov !, $ ili &, poskol'ku v rezul'tate ego dlina kak bi
budet bolee 32 simvolov, 4to ne dopuskaetsa.
S etim svazan e6¸ odin zabavniy gluk "VKontakte". Pri sozdanii
novogo akkaunta upomanutie 4udo-simvoli nikuda ne perekodiruutsa i
soxranautsa kak est'. Poetomu mojno zadat' i bolee dlinniy parol',
naprimer, "!!!!!!!!". A vot pomenat' takoy parol' 4erez sootvetstvuu6uu
formu uje ne polu4itsa, poskol'ku stariy parol' pri vvode budet
perekodirovan, obrezan i priznan nepravil'nim.
Igor' Kreyn, Vladislav Mixeev s sayta vebplaneta